Brute-force aanvallen

Brute-force aanvallen worden uitgevoerd door hackers die proberen een wachtwoord te kraken door simpelweg verschillende combinaties van tekens achter elkaar uit te proberen. Het algoritme is zeer eenvoudig en beperkt zich tot het uitproberen van zoveel mogelijk tekencombinaties, daarom wordt het ook wel "uitputtend zoeken" genoemd. De aanvaller maakt meestal gebruik van een krachtige computer, die veel berekeningen per seconde uitvoert en daardoor in de kortst mogelijke tijd een groot aantal combinaties kan testen.

De methode wordt in de praktijk vaak met succes toegepast, omdat veel gebruikers korte wachtwoorden gebruiken, die vaak alleen uit de letters van het alfabet bestaan, waardoor het aantal mogelijke combinaties drastisch wordt gereduceerd en het raden eenvoudiger wordt.

Ontcijfering van wachtwoorden

De Project RC5 van de organisatie Distributed.net laat zien hoe snel wachtwoorden kunnen worden gedecodeerd. Het doel van het project is het ontcijferen van een bericht, dat is versleuteld met een 72-bits sleutel. Hiervoor worden alle mogelijke sleutels uitgeprobeerd tot de juiste sleutel is gevonden. Aangezien verschillende gebruikers hun computercapaciteit voor dit project ter beschikking stellen, kunnen momenteel (vanaf 8 mei 2012) meer dan 800 miljard sleutels per seconde worden gegenereerd. Oudere projecten in deze organisatie kraakten een 56-bits sleutel binnen 250 dagen en een 64-bits sleutel binnen 1.757 dagen.

Combinatie en lengte van het wachtwoord

Enkele rekenvoorbeelden illustreren de interactie tussen lengte en gebruikte tekens voor de beveiliging van een wachtwoord. In de rekenvoorbeelden wordt met 2 miljard toetsenaanslagen per seconde gerekend, aangezien dit ongeveer overeenkomt met de snelheid van een zeer sterke enkele computer.

Bij het aanmaken van een wachtwoord zijn meestal de volgende tekens beschikbaar:

  • Cijfers (10 verschillende: 0-9)
  • Letters (52 verschillende: AZ en az)
  • Speciale tekens (32 verschillende).

Het aantal mogelijke combinaties wordt berekend met de volgende formule:

Mogelijke combinaties = mogelijk aantal tekensWachtwoordlengte

Dit resulteert in de volgende rekenvoorbeelden zonder rekening te houden met andere factoren, zoals woordenboekaanvallen::

Het wachtwoord bestaat uit Mogelijke combinaties Tijd nodig om te ontcijferen

5 tekens
(3 kleine letters,
2 cijfers)

365= 60.466.176

60.466.176 / 2
.000.000.000 =
0,03 seconden

7 tekens
(1 hoofdletter,
6 kleine letters)

527= 1.028.071.702.528

1.028.071.702.528 / 2
.000.000.000 =
514 Seconden =
ca. 9 minuten

8 tekens
(4 kleine letters,
2 speciale tekens,
2 cijfers)

688= 457.163.239.653.376

457.163.239.653.376 / 2
.000.000.000 =
228.581 Seconden =
ca. 2,6 dagen

9 tekens
(2 hoofdletters,
3 kleine letters,
2 cijfers,
2 speciale tekens)

949= 572.994.802.228.616.704

572.994.802.228.616.704 /
2.000.000.000 =
286.497.401 Seconden =
ca. 9,1 jaar

12 tekens
(3 hoofdletters,
4 kleine letters,
3 speciale tekens,
2 cijfers)

9412= 475.920.314.814.253.376.475.136

475.920.314.814.253.376.475.136 /
2.000.000.000 =
237.960.157.407.127 Seconden =
ca. 7,5 miljoen jaar

U ziet heel duidelijk de impact van de lengte van het wachtwoord en het gebruik van verschillende tekengroepen op de veiligheid van een wachtwoord.

Bescherming tegen brute-force aanvallen

De enige manier waarop u zichzelf kunt verdedigen tegen brute-force aanvallen is door een complex hoofdwachtwoord te gebruiken dat lang genoeg is en bestaat uit een combinatie van hoofdletters, kleine letters, speciale tekens, en cijfers. Hoe complexer en langer uw wachtwoord is, hoe kleiner de kans dat de gebruikte software de door u gekozen combinatie toevallig "raadt", zoals u kunt zien aan de rekenvoorbeelden hierboven.

Wanneer u een nieuw wachtwoord aanmaakt in Password Depot of dit automatisch laat genereren met behulp van de Password Generator, zult u zien hoe lang het zou duren om dat wachtwoord te kraken. Password Depot houdt niet alleen rekening met bovenstaande factoren, zoals het aantal tekens, maar ook met andere kwetsbaarheden, zoals de kwetsbaarheid voor woordenboekaanvallen.

Een andere manier om brute-force aanvallen te bemoeilijken is het verlengen van de tijd tussen twee aanmeldingspogingen (na het verkeerd invoeren van een wachtwoord). Hierdoor kan de high-performance computer van de hacker worden vertraagd, ondanks de vele berekeningen per seconde die hij in theorie zou kunnen maken. Daarom wordt in Password Depot het dialoogvenster met het hoofdwachtwoord een paar seconden lang geblokkeerd als u een onjuist hoofdwachtwoord invoert. Nu er steeds vaker verkeerde wachtwoorden worden ingevoerd, neemt ook deze wachttijd toe.